Тематические статьи →

XSS — атаки на веб-системы типа «межсайтовый скриптинг»

XSS-атаки — это внед­ре­ние в стра­ницу вре­до­нос­ного кода, кото­рый будет выпол­нен на ком­пью­тере поль­зо­ва­теля при откры­тии им этой страницы.

Как правило, вредоносный код наце­лен на аутен­ти­фи­ци­ро­ван­ных поль­зо­ва­те­лей и использует авторизацию в веб-системе для полу­че­ния к ней рас­ши­рен­ного досту­па. Еще одна раз­но­вид­ность исполь­зо­ва­ния — кража рек­ви­зи­тов доступа (логи­нов и паро­лей). XSS-атака может быть осу­ществ­лена как как через уяз­ви­мость приложения или веб-сер­ве­ра, так и через уяз­ви­мость на ком­пью­тере конечного пользователя. Исполь­зо­ва­ние XSS-атак весьма попу­ляр­но, они занимают пер­вое место среди всех типов атак на веб-системы.

XSS-уяз­ви­мо­сти очень опас­ны: зло­умыш­лен­ник может полу­чить доступ к данным на стра­нице или в сookies (если они без циф­ро­вых под­пи­сей и без привязки к IP), а там вполне могут быть весьма цен­ные дан­ные (напри­мер, иден­ти­фи­ка­тор сес­сии с адми­ни­стра­тив­ным досту­пом к системе или номера платёж­ных карт). Так­же, если нет защиты от CSRF, ата­ку­ю­щий может выпол­нить любые дей­ствия, доступ­ные поль­зо­ва­телю и сде­лать это от его имени (напри­мер,перевести сред­ства, рас­сы­лать спам и т.п.). На попу­ляр­ных сай­тах XSS-уяз­ви­мо­сти могут быть исполь­зо­ваны для DDoS-атак либо на сам сер­вис, либо на какой-либо дру­гой ресурс.

Наи­бо­лее часто экс­плу­а­ти­ру­ются такие уяз­ви­мо­сти на сай­тах, где поль­зо­ва­тели могут пуб­ли­ко­вать свой кон­тент, делая его доступным для дру­гих. Зло­умыш­лен­ник, при отсут­ствии долж­ной филь­тра­ции, может либо напря­мую исполь­зо­вать уяз­ви­мость, либо зара­жать бра­у­зеры поль­зо­ва­те­лей. Раз­ра­бот­чи­ки, для предот­вра­ще­ния атак этого типа, должны либо про­сто огра­ни­чи­вать воз­мож­но­сти поль­зо­ва­те­лей пуб­ли­ко­вать на сайте что-либо, либо тща­тельно филь­тро­вать посту­па­ю­щие от поль­зо­ва­те­лей дан­ные.

Поделитесь с друзьями:


Информация о публикации:

Материал опубликован в 2014 году. Эта ста­тья о веб-разработке. При пере­пуб­ли­ка­ции обя­за­тельно ука­за­ние пер­во­ис­точ­ника в виде гипер­тек­сто­вой ссылки на сайт web-creator.ru

Воспользуйтесь нашими
знаниями и опытом

Отправьте нам сообщение при помощи формы. Или напишите на e-mail s@web-creator.ru

Мы максимально оперативно ответим Вам по электронной почте или перезвоним.

При отправке сообщения через форму, укажите пожалуйста предпочтительный способ связи с Вами: телефон или адрес электронной почты. Мы сможем ответить Вам подробнее, если Вы напишете что-то о запланированном проекте или предполагаемых задачах.

Либо просто позвоните нам по номеру: +7 495 215-1501

Мы работаем по будним дням с 10 до 19 часов.

Комплексные услуги

Реализация «под ключ» проектов по созданию различных видов сайтов, разработка веб-приложений для автоматизации бизнес-процессов, ведение контекстных и медийных рекламных кампаний, поисковое продвижение, комплексная поддержка веб-проектов, консалтинговые услуги.